Hack du iCloud d’Apple et publication de photos de stars nues – Guillaume Lovet, expert en cybercriminalité, Fortinet

Nuage en forme de coeur et avion

Le 31 août 2014, des photos nues de plusieurs célébrités féminines ont été diffusées sur le forum 4Chan par des Internautes anonymes. Ces derniers ont déclaré avoir eu accès à ces photos et vidéos via le piratage de comptes iCloud. L’un des utilisateurs 4Chan a demandé qu’on lui verse des bitcoin ou de l’argent sur un compte Paypal pour la diffusion de nouvelles photos et vidéos concernant plus de 100 célébrités.

Certaines célébrités (par exemple Jennifer Lawrence et Mary Elizabeth Winstead) ont confirmé l’authenticité des photos tandis que d’autres (comme Victoria Justice, Ariana Grande, McKayla Maroney) ont indiqué qu’il s’agissait de fausses photos.

A ce jour, Apple n’a pas confirmé que iCloud ait été piraté, mais a déclaré qu’une enquête était en cours.

Guillaume LovetFace à ces faits, Guillaume Lovet, expert renommé en cybercriminalité chez Fortinet, explique :

Qui est derrière ce piratage ?

La liste des célébrités ayant été piratées a été diffusée par des Internautes anonymes du forum 4Chan ayant pour ID : ffR+At7b and UggsTju5. Leur identité est encore inconnue et nous ne savons pas encore si d’autres Internautes sont impliqués.

L’un d’eux pourrait avoir 26 ans et vivre à Lawrenceville, en Georgie. Contacté par les médias, il a reconnu avoir tenté de vendre quelques unes de photos nues pour 100$/photo sur Reddit sous le surnom de BluntMastermind, mais nie être à l’origine de la fuite. Cependant, il semble avoir les compétences nécessaires (il est administrateur serveur) et a posté des captures d’écran ressemblant fortement à celles sur 4Chan.

Les comptes Twitter (par exemple @Callux) postant des images non censurées des célébrités ont été suspendus, et quelques célébrités ont averti qu’elles allaient les poursuivre.

Comment ont-ils eu accès à ces photos ?

A ce stade, personne ne sait comment les photos ont été récupérées. Il n’y a que des rumeurs et des hypothèses.

En supposant qu’iCloud soit la source, on peut émettre en hypothèse les scénarios suivants :

  • Une faille cross-site : des adresses emails et mots de passe ont été récoltées suite à une fuite/faille d’un autre site. Les utilisateurs iCloud utilisent les mêmes identifiants et mots de passé que ce site, ce qui conduit donc à la compromission. C’est l’hypothèse la plus plausible.
  • Piratage du cœur de l’infrastructure iCloud : avec un accès direct à des photos en clair, ou une faille dans un autre service Apple comme la récupération de mot de passe. Nous ne sommes pas au courant d’une telle faille
  • Attaques par force brute des comptes iCloud : 2 chercheurs, Andrey Belenko et Alexey Troshichev, ont prouvé que cela était possible et ont publié un outil nommé iBrute. Apple a corrigé la vulnérabilité le 1 septembre 2014. Cette hypothèse n’est cependant pas la plus plausible : en effet, cela implique que les attaquants ont eu accès aux AppleID ciblés (par exemple les adresses email) en premier lieu. Les célébrités, comme n’importe quel autre internaute, n’utilisent probablement pas un mot de passe forts pour protéger ses comptes, mais ont généralement gardé leurs adresses mails privées, pour ne pas être spammé par leurs fans.
  • Le Wifi des Awards Emmy piraté : cette hypothèse impliquerait que des certificats compromis ou failles SSL inconnues aient été exploités par les hackers. C’est le scénario le moins plausible.

Il est également possible qu’il n’y ait pas du tout de brèche iCloud, ou du moins que ce ne soit pas seulement ca en cause. Il semble en effet plus plausible que plusieurs pirates aient collectés les photos sur différents sites : DropBox, Google Drive, iCloud :

  • Certaines photos semblent avoir été prises avec un appareil Android ou une webcam. Ces photos n’ont pas raison d’être sur l’iCloud, mis à part si elles ont été spécifiquement déplacées par leur propriétaire
  • PhotoStream d’Apple garde seulement les photos téléchargées sur iCloud pendant 30 jours. Cela ne correspond pas au fait que certaines célébrités ont indiqué qu’il s’agissait de vieilles photos.
  • Au-delà des photos, des vidéos ont été divulguées. iCloud ne se synchronise pas avec les vidéos.

Que peut faire Apple pour éviter cela ?

Actuellement, l’authentification à deux facteurs n’existe pas pour les comptes iCloud, tout se fait par l’identifiant Apple. Encore une fois, si l’authentification en 2 étapes avait été disponible sur iCloud, cela aurait empêché au moins une partie de la fuite : les combinaisons ID et mots de passe récoltées de précédentes failles de base de données n’auraient pas été suffisantes pour se connecter à iCloud et télécharger les photos.

Que pourrait faire l’utilisateur pour éviter d’être piraté ?

D’une manière générale :

  1. Utilisez différents mots de passe pour différents comptes et services. Si vous avez le même mot de passe pour plusieurs comptes, changez votre mot de passe Apple tout de suite.
  2. Utilisez un mot de passe fort
  3. Rappelez-vous que le cloud n’est pas un coffre fort infaillible, et en tant que tel, activez l’authentification à 2 facteurs lorsque cela est possible comme par exemple sur Dropbox.

Concernant iCloud, on peut éviter que les photos soient uploader depuis son appareil Apple vers le cloud en désactivant cette fonction : Paramètres -> iClous -> Photos -> Ma galerie Photo / My Photo Stream

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Hack du iCloud d’Apple et publication de photos de stars nues – Guillaume Lovet, expert en cybercriminalité, Fortinet

Nuage en forme de coeur et avion 4th septembre, 2014

Le 31 août 2014, des photos nues de plusieurs célébrités féminines ont été diffusées sur le forum 4Chan par des Internautes anonymes. Ces derniers ont déclaré avoir eu accès à ces photos et vidéos via le piratage de comptes iCloud. L’un des utilisateurs 4Chan a demandé qu’on lui verse des bitcoin ou de l’argent sur un compte Paypal pour la diffusion de nouvelles photos et vidéos concernant plus de 100 célébrités.

Certaines célébrités (par exemple Jennifer Lawrence et Mary Elizabeth Winstead) ont confirmé l’authenticité des photos tandis que d’autres (comme Victoria Justice, Ariana Grande, McKayla Maroney) ont indiqué qu’il s’agissait de fausses photos.

A ce jour, Apple n’a pas confirmé que iCloud ait été piraté, mais a déclaré qu’une enquête était en cours.

Guillaume LovetFace à ces faits, Guillaume Lovet, expert renommé en cybercriminalité chez Fortinet, explique :

Qui est derrière ce piratage ?

La liste des célébrités ayant été piratées a été diffusée par des Internautes anonymes du forum 4Chan ayant pour ID : ffR+At7b and UggsTju5. Leur identité est encore inconnue et nous ne savons pas encore si d’autres Internautes sont impliqués.

L’un d’eux pourrait avoir 26 ans et vivre à Lawrenceville, en Georgie. Contacté par les médias, il a reconnu avoir tenté de vendre quelques unes de photos nues pour 100$/photo sur Reddit sous le surnom de BluntMastermind, mais nie être à l’origine de la fuite. Cependant, il semble avoir les compétences nécessaires (il est administrateur serveur) et a posté des captures d’écran ressemblant fortement à celles sur 4Chan.

Les comptes Twitter (par exemple @Callux) postant des images non censurées des célébrités ont été suspendus, et quelques célébrités ont averti qu’elles allaient les poursuivre.

Comment ont-ils eu accès à ces photos ?

A ce stade, personne ne sait comment les photos ont été récupérées. Il n’y a que des rumeurs et des hypothèses.

En supposant qu’iCloud soit la source, on peut émettre en hypothèse les scénarios suivants :

  • Une faille cross-site : des adresses emails et mots de passe ont été récoltées suite à une fuite/faille d’un autre site. Les utilisateurs iCloud utilisent les mêmes identifiants et mots de passé que ce site, ce qui conduit donc à la compromission. C’est l’hypothèse la plus plausible.
  • Piratage du cœur de l’infrastructure iCloud : avec un accès direct à des photos en clair, ou une faille dans un autre service Apple comme la récupération de mot de passe. Nous ne sommes pas au courant d’une telle faille
  • Attaques par force brute des comptes iCloud : 2 chercheurs, Andrey Belenko et Alexey Troshichev, ont prouvé que cela était possible et ont publié un outil nommé iBrute. Apple a corrigé la vulnérabilité le 1 septembre 2014. Cette hypothèse n’est cependant pas la plus plausible : en effet, cela implique que les attaquants ont eu accès aux AppleID ciblés (par exemple les adresses email) en premier lieu. Les célébrités, comme n’importe quel autre internaute, n’utilisent probablement pas un mot de passe forts pour protéger ses comptes, mais ont généralement gardé leurs adresses mails privées, pour ne pas être spammé par leurs fans.
  • Le Wifi des Awards Emmy piraté : cette hypothèse impliquerait que des certificats compromis ou failles SSL inconnues aient été exploités par les hackers. C’est le scénario le moins plausible.

Il est également possible qu’il n’y ait pas du tout de brèche iCloud, ou du moins que ce ne soit pas seulement ca en cause. Il semble en effet plus plausible que plusieurs pirates aient collectés les photos sur différents sites : DropBox, Google Drive, iCloud :

  • Certaines photos semblent avoir été prises avec un appareil Android ou une webcam. Ces photos n’ont pas raison d’être sur l’iCloud, mis à part si elles ont été spécifiquement déplacées par leur propriétaire
  • PhotoStream d’Apple garde seulement les photos téléchargées sur iCloud pendant 30 jours. Cela ne correspond pas au fait que certaines célébrités ont indiqué qu’il s’agissait de vieilles photos.
  • Au-delà des photos, des vidéos ont été divulguées. iCloud ne se synchronise pas avec les vidéos.

Que peut faire Apple pour éviter cela ?

Actuellement, l’authentification à deux facteurs n’existe pas pour les comptes iCloud, tout se fait par l’identifiant Apple. Encore une fois, si l’authentification en 2 étapes avait été disponible sur iCloud, cela aurait empêché au moins une partie de la fuite : les combinaisons ID et mots de passe récoltées de précédentes failles de base de données n’auraient pas été suffisantes pour se connecter à iCloud et télécharger les photos.

Que pourrait faire l’utilisateur pour éviter d’être piraté ?

D’une manière générale :

  1. Utilisez différents mots de passe pour différents comptes et services. Si vous avez le même mot de passe pour plusieurs comptes, changez votre mot de passe Apple tout de suite.
  2. Utilisez un mot de passe fort
  3. Rappelez-vous que le cloud n’est pas un coffre fort infaillible, et en tant que tel, activez l’authentification à 2 facteurs lorsque cela est possible comme par exemple sur Dropbox.

Concernant iCloud, on peut éviter que les photos soient uploader depuis son appareil Apple vers le cloud en désactivant cette fonction : Paramètres -> iClous -> Photos -> Ma galerie Photo / My Photo Stream

By
@coesteve1
backtotop